एक्सचेंज खाता सुरक्षा: संपूर्ण सुरक्षा गाइड

क्रिप्टोकरेंसी एक्सचेंज उपयोगकर्ता निधि में अरबों डॉलर रखते हैं और इंटरनेट पर सबसे अधिक लक्षित प्लेटफॉर्म हैं। स्व-संरक्षित वॉलेट के विपरीत जहां सुरक्षा आपके बीज वाक्यांश की सुरक्षा पर निर्भर करती है, एक्सचेंज सुरक्षा एक ऑनलाइन खाते की सुरक्षा करना शामिल है — आपकी लॉगिन क्रेडेंशियल, दो-कारक प्रमाणीकरण, API कुंजी, और आपके एक्सचेंज से जुड़ा ईमेल खाता।

जबकि दीर्घकालिक भंडारण के लिए सबसे सुरक्षित विकल्प एक कोल्ड वॉलेट है जिसे आप नियंत्रित करते हैं, अधिकांश क्रिप्टोकरेंसी उपयोगकर्ताओं को ट्रेडिंग, मुद्राओं के बीच परिवर्तन, और फिएट से ऑन-रैम्प/ऑफ-रैम्प के लिए एक्सचेंज खातों की आवश्यकता होती है। यह गाइड आपके एक्सचेंज खातों की सुरक्षा के लिए आपको लागू करने चाहिए ऐसी सुरक्षा की प्रत्येक परत को कवर करता है।

एक्सचेंज सुरक्षा खतरे का मॉडल

एक्सचेंज को क्यों लक्षित किया जाता है

केंद्रीकृत मूल्य — एक एकल एक्सचेंज खाता हजारों या लाखों डॉलर रख सकता है।
तरल संपत्ति — क्रिप्टोकरेंसी को मिनटों के भीतर स्थानांतरित और लॉन्ड्री किया जा सकता है।
अपरिवर्तनीय लेनदेन — एक बार निकाले जाने के बाद, क्रिप्टो लेनदेन को उलट नहीं किया जा सकता।
वैश्विक हमले की सतह — दुनिया में कहीं से भी हमलावर किसी भी एक्सचेंज को लक्षित कर सकते हैं।
हमलावरों के लिए उच्च ROI — एक सफल समझौता विशाल लाभ दे सकता है।

हमले के सदिश

सदिश	विवरण	कठिनाई
पासवर्ड समझौता	कमजोर, पुनः उपयोग किया गया, या लीक पासवर्ड	कम
SIM स्वैप	SMS 2FA के लिए फोन नंबर को हाईजैक करना	मध्यम
ईमेल समझौता	जुड़े हुए ईमेल खाते को लेना	मध्यम
फिशिंग	नकली लॉगिन पेज क्रेडेंशियल कैप्चर करना	कम
सेशन हाईजैकिंग	सक्रिय सेशन कुकीज चोरी करना	मध्यम
API कुंजी चोरी	निकासी अनुमति के साथ API कुंजियों को समझौता करना	मध्यम
सामाजिक इंजीनियरिंग	एक्सचेंज समर्थन को पहुंच देने के लिए धोखा देना	मध्यम
मैलवेयर	कीलॉगर्स, स्क्रीन कैप्चर, क्लिपबोर्ड हाईजैकिंग	मध्यम
एक्सचेंज हैक	एक्सचेंज को स्वयं उल्लंघन किया जाता है	N/A (उपयोगकर्ता नियंत्रण से बाहर)

आपकी सुरक्षा रणनीति को केवल एक को नहीं, बल्कि सभी को संबोधित करना चाहिए।

खाता सुरक्षा की मूल बातें

1. एक मजबूत, अद्वितीय पासवर्ड का उपयोग करें

प्रत्येक एक्सचेंज खाते का एक अद्वितीय पासवर्ड होना चाहिए जो किसी अन्य सेवा के लिए उपयोग नहीं किया जाता है। यदि आप पासवर्ड का पुनः उपयोग करते हैं और उन सेवाओं में से कोई भी उल्लंघन होता है, तो आपका एक्सचेंज खाता समझौता हो जाता है।

पासवर्ड आवश्यकताएं:

कम से कम 16 वर्ण (20+ पसंदीदा)।
पासवर्ड प्रबंधक द्वारा जेनरेट किया गया (आपके द्वारा नहीं चुना गया)।
केवल एक प्रतिष्ठित पासवर्ड प्रबंधक में संग्रहीत (1Password, Bitwarden)।
कभी भी सादे पाठ में लिखा नहीं, नोट में संग्रहीत, या ईमेल/मैसेजिंग के माध्यम से साझा नहीं।

मैनुअल रूप से चुना गया पासवर्ड क्यों नहीं? मनुष्य अनुमानित हैं। यहां तक कि वे पासवर्ड जो आपको यादृच्छिक लगते हैं, सामान्य पैटर्न, शब्दकोश हमले, या व्यक्तिगत जानकारी अवशेषण के माध्यम से अनुमानित हो सकते हैं। एक पासवर्ड प्रबंधक वास्तविक यादृच्छिक पासवर्ड जेनरेट करता है।

2. दो-कारक प्रमाणीकरण (2FA) सक्षम करें

दो-कारक प्रमाणीकरण आपके पासवर्ड के अलावा एक दूसरी परत जोड़ता है। 2FA के प्रकार, सबसे से कम सुरक्षित तक।

हार्डवेयर सुरक्षा कुंजी (FIDO2/WebAuthn) — सर्वश्रेष्ठ

YubiKey, Google Titan Key, या Thetis FIDO2 जैसी हार्डवेयर कुंजियां:

प्रमाणीकरण के लिए शारीरिक रूप से मौजूद कुंजी आवश्यक है।
विशिष्ट वेबसाइट के लिए क्रिप्टोग्राफ़िक रूप से बाध्य है — फिशिंग नहीं की जा सकती है।
SIM स्वैप, ईमेल समझौता, और वास्तविक समय फिशिंग रिले हमलों से प्रतिरक्षा।
Coinbase, Binance, Kraken, Gemini, और अधिकांश प्रमुख एक्सचेंजों द्वारा समर्थित।

सिफारिश: दो हार्डवेयर कुंजियां खरीदें। प्रत्येक खाते के साथ दोनों को पंजीकृत करें। एक अपनी कुंजी श्रृंखला पर रखें और दूसरा एक सुरक्षित बैकअप स्थान में रखें।

प्रमाणिकरण ऐप (TOTP) — अच्छा

Google Authenticator, Authy, या 1Password TOTP जैसी ऐप्स:

एक समय-आधारित एक-बार पासवर्ड (TOTP) जेनरेट करता है जो हर 30 सेकंड बदलता है।
SIM स्वैप हमलों के लिए असुरक्षित नहीं।
वास्तविक समय फिशिंग के लिए असुरक्षित (हमलावर कोड को वास्तविक साइट पर रिले करता है)।
यदि आप अपना फोन खो देते हैं, तो आपको TOTP को पुनः प्राप्त करने के लिए बैकअप कोड या TOTP गुप्त की आवश्यकता होती है।

सर्वोत्तम प्रथाएं:

एक प्रमाणिकरण का उपयोग करें जो एन्क्रिप्ट किए गए बैकअप का समर्थन करता है (Authy, 1Password) उसके बजाय जो बैकअप नहीं किया जा सकता (वेनिला Google Authenticator)।
TOTP बैकअप/पुनः प्राप्ति कोड को सुरक्षित रूप से संग्रहीत करें — वे TOTP गुप्त के समतुल्य हैं।
उन उपकरणों पर क्लाउड-सिंक्स TOTP ऐप्स से बचें जिन पर आप पूरी तरह भरोसा नहीं करते।

SMS 2FA — संभव हो तो टालें

SMS-आधारित दो-कारक प्रमाणीकरण SIM स्वैप हमलों के लिए असुरक्षित है:

हमलावर आपके मोबाइल वाहक को संपर्क करता है, आपका प्रतिरूपण करता है।
वे वाहक को आपके फोन नंबर को एक नई SIM कार्ड में बदलने के लिए समझाते हैं।
सभी SMS संदेश (2FA कोड सहित) अब हमलावर को जाते हैं।
हमलावर आपके चोरी किए गए पासवर्ड और इंटरसेप्ट किए गए 2FA कोड के साथ आपके एक्सचेंज खाते में लॉगिन करता है।

SIM स्वैप हमलों के परिणामस्वरूप क्रिप्टोकरेंसी में लाखों डॉलर का नुकसान हुआ है। यदि आपके एक्सचेंज ने कोई भी गैर-SMS 2FA विकल्प दिया है, तो इसका उपयोग करें। यदि SMS एकमात्र विकल्प है, तो एक वाहक PIN सेट करें (नीचे वर्णित)।

3. अपने ईमेल खाते को सुरक्षित करें

आपका ईमेल खाता अक्सर कमजोर कड़ी होता है। इसे किया जा सकता है:

अपना एक्सचेंज पासवर्ड रीसेट करें।
निकासी पुष्टिकरण लिंक प्राप्त करें।
2FA बाईपास कोड प्राप्त करें।

ईमेल सुरक्षा उपाय:

अपने ईमेल के लिए एक मजबूत, अद्वितीय पासवर्ड का उपयोग करें।
अपने ईमेल पर 2FA सक्षम करें (हार्डवेयर कुंजी पसंदीदा)।
क्रिप्टोकरेंसी एक्सचेंज खातों के लिए एक समर्पित ईमेल पता का उपयोग करें — एक जो किसी और चीज़ के लिए उपयोग नहीं किया जाता है और सार्वजनिक रूप से ज्ञात नहीं है।
ईमेल अग्रेषण नियम अक्षम करें (हमलावर पुष्टिकरण ईमेल को इंटरसेप्ट करने के लिए अग्रेषण सेट अप कर सकते हैं)।
सक्रिय सेशन और जुड़ी हुई ऐप्स को नियमित रूप से समीक्षा करें।

4. निकासी पता व्हाइटलिस्ट सक्षम करें

अधिकांश प्रमुख एक्सचेंज एक निकासी पता व्हाइटलिस्ट सुविधा प्रदान करते हैं:

आप अनुमोदित क्रिप्टोकरेंसी पते की एक सूची परिभाषित करते हैं।
निकासी केवल व्हाइटलिस्ट किए गए पते को भेजी जा सकती है।
एक नया पता जोड़ने के लिए अतिरिक्त सत्यापन और आमतौर पर एक प्रतीक्षा अवधि (24-72 घंटे) की आवश्यकता होती है।

यह सबसे प्रभावी बचाव में से एक है: भले ही एक हमलावर को आपके एक्सचेंज खाते के लिए पूर्ण पहुंच प्राप्त हो, वे व्हाइटलिस्ट में जोड़े बिना और प्रतीक्षा किए बिना अपने पते पर निकासी नहीं कर सकते।

सेटअप:

अपने कोल्ड स्टोरेज पते, अपने हार्डवेयर वॉलेट पते, और किसी भी अन्य पते को व्हाइटलिस्ट करें जो आप नियमित रूप से उपयोग करते हैं।
नई व्हाइटलिस्ट जोड़ के लिए अधिकतम संभव देरी सक्षम करें।
किसी भी व्हाइटलिस्ट परिवर्तन के लिए सूचनाएं सेट करें।

5. एक एंटी-फिशिंग कोड सेट करें

कई एक्सचेंज (Binance, KuCoin, OKX, और अन्य) आपको एक एंटी-फिशिंग कोड सेट करने की अनुमति देते हैं — एक कस्टम स्ट्रिंग जो एक्सचेंज से हर वैध ईमेल में दिखाई देती है। यदि आप एक्सचेंज से होने का दावा करने वाला ईमेल प्राप्त करते हैं लेकिन इसमें आपका एंटी-फिशिंग कोड नहीं है, तो यह एक फिशिंग ईमेल है।

6. API कुंजियों की समीक्षा और प्रतिबंध करें

यदि आप ट्रेडिंग बॉट्स या पोर्टफोलियो ट्रैकर्स के लिए API कुंजियों का उपयोग करते हैं:

केवल न्यूनतम आवश्यक अनुमतियां प्रदान करें (केवल ट्रैकिंग के लिए पढ़ने-ओनली; निकासी अनुमति नहीं जब तक बिल्कुल आवश्यक न हो)।
संभव हो तो API कुंजियों को विशिष्ट IP पते तक सीमित करें।
API कुंजियों पर समाप्ति तारीखें सेट करें।
नियमित रूप से सभी सक्रिय API कुंजियों का ऑडिट करें और अप्रयुक्त लोगों को रद्द करें।
कभी भी API कुंजियां अनएन्क्रिप्टेड चैनलों के माध्यम से साझा न करें (ईमेल, सादा पाठ, चैट)।

निकासी अनुमति के साथ एक API कुंजी खाते की पहुंच के बराबर है। इसके अनुसार इसका व्यवहार करें।

उन्नत सुरक्षा उपाय

SIM स्वैप सुरक्षा

अपने मोबाइल वाहक पर SIM स्वैप हमलों से सुरक्षा के लिए:

एक वाहक PIN/पासकोड सेट करें — अधिकांश वाहक आपको एक PIN सेट करने देते हैं जो किसी भी खाते परिवर्तन से पहले प्रदान किया जाना चाहिए। यह सेट करने के लिए अपने वाहक से संपर्क करें।
पोर्ट फ्रीज का अनुरोध करें — कुछ वाहक आपके खाते को अनधिकृत संख्या बंदरगाह को रोकने के लिए फ्लैग कर सकते हैं।
eSIM का उपयोग करें — भौतिक SIM स्वैप eSIM-ओनली खातों को प्रभावित नहीं करते हैं, हालांकि वाहक समर्थन की सामाजिक इंजीनियरिंग अभी भी संभव है।
एक Google Voice या VoIP नंबर का उपयोग करें — यदि SMS 2FA अनिवार्य है, तो एक VoIP नंबर का उपयोग करें जो भौतिक SIM कार्ड से जुड़ा नहीं है। नोट: कुछ एक्सचेंज VoIP नंबर स्वीकार नहीं करते हैं।

डिवाइस सुरक्षा

डिवाइस जिसे आप अपने एक्सचेंज को एक्सेस करने के लिए उपयोग करते हैं, वह आपकी सुरक्षा परिधि का हिस्सा है:

अपने OS और ब्राउज़र को अद्यतन रखें — सुरक्षा पैच ज्ञात कमजोरियों को बंद करते हैं।
एंटी-मैलवेयर सॉफ्टवेयर का उपयोग करें — कीलॉगर्स, क्लिपबोर्ड हाईजैकर्स, और स्क्रीन कैप्चर मैलवेयर का पता लगाएं।
एक समर्पित ब्राउज़र प्रोफ़ाइल का उपयोग करें — क्रिप्टो-संबंधित सेशन को सामान्य ब्राउज़िंग से अलग रखें।
सार्वजनिक Wi-Fi से बचें — यदि आपको सार्वजनिक Wi-Fi का उपयोग करना चाहिए, तो एक VPN का उपयोग करें। बेहतर अभी भी, अपने फोन के सेलुलर डेटा का उपयोग करें।
अपने डिवाइस को लॉक करें — अपने कंप्यूटर और फोन को लॉक करने के लिए बायोमेट्रिक प्रमाणीकरण या एक मजबूत PIN/पासवर्ड का उपयोग करें।
अपने भंडारण को एन्क्रिप्ट करें — पूर्ण-डिस्क एन्क्रिप्शन सक्षम करें (Windows पर BitLocker, macOS पर FileVault)।

सेशन और लॉगिन प्रबंधन

प्रत्येक सेशन के बाद लॉगआउट करें — साझा या पोर्टेबल डिवाइस पर एक्सचेंज सेशन को सक्रिय न रखें।
सक्रिय सेशन की समीक्षा करें — नियमित रूप से "सक्रिय सेशन" या "डिवाइस" अनुभाग जांचें और किसी को अलग करें जो आप पहचान नहीं सकते।
लॉगिन सूचनाएं सक्षम करें — हर लॉगिन प्रयास, विशेष रूप से नई डिवाइस या स्थानों से अलर्ट प्राप्त करें।
एंटी-फिशिंग उपाय सक्षम करें — कुछ एक्सचेंज लॉगिन पर दिखाए गए सुरक्षा वाक्यांश को कॉन्फ़िगर करने की अनुमति देते हैं।

IP व्हाइटलिस्टिंग

कुछ एक्सचेंज आपको खाता पहुंच को विशिष्ट IP पते तक सीमित करने की अनुमति देते हैं। यदि आपका IP पता स्थिर है (होम कनेक्शन, स्थिर IP के साथ VPN), यह किसी अन्य स्थान से लॉगिन को रोकता है।

सीमाएं: अधिकांश उपभोक्ता इंटरनेट कनेक्शन में गतिशील IP हैं जो समय-समय पर बदलते हैं। स्थिर IP पते के साथ VPN इसे हल कर सकते हैं।

एक्सचेंज चयन मानदंड

सभी एक्सचेंज समान रूप से सुरक्षित नहीं हैं। एक एक्सचेंज चुनते समय:

नियामक अनुपालन

विनियमित एक्सचेंज (प्रमुख अधिक्षेत्रों में वित्तीय लाइसेंस के तहत संचालन) मजबूत सुरक्षा प्रथाओं को लागू करने, बीमा निधियों को बनाए रखने, और मुद्दों की स्थिति में मुआवजे प्रदान करने की अधिक संभावना है।

आरक्षित का प्रमाण

कुछ एक्सचेंज आरक्षित का प्रमाण प्रकाशित करते हैं — क्रिप्टोग्राफ़िक साक्ष्य कि वे सभी ग्राहक जमाओं को कवर करने के लिए पर्याप्त संपत्ति रखते हैं। यह सभी प्रकार के धोखाधड़ी को रोकता नहीं है लेकिन पारदर्शिता की एक डिग्री प्रदान करता है।

सुरक्षा ट्रैक रिकॉर्ड

एक्सचेंज के इतिहास पर शोध करें:

क्या वे पहले हैक किए गए हैं? वे कैसे प्रतिक्रिया दे रहे हैं?
क्या वे एक बग बाउंटी प्रोग्राम प्रदान करते हैं?
क्या वे तीसरे पक्ष की सुरक्षा ऑडिट से गुजरे हैं?
वे उपयोगकर्ता निधियों को कैसे संग्रहीत करते हैं (कोल्ड स्टोरेज प्रतिशत)?

बीमा और मुआवजा

कुछ एक्सचेंज बीमा निधियों को बनाए रखते हैं या एक उल्लंघन की स्थिति में उपयोगकर्ताओं के मुआवजे के लिए प्रतिबद्ध हुए हैं। समझें कि क्या कवर किया गया है और क्या नहीं।

देखने के लिए सुविधाएं

सुविधा	महत्व	नोट
हार्डवेयर कुंजी 2FA (FIDO2)	महत्वपूर्ण	सर्वोत्तम फिशिंग सुरक्षा
TOTP 2FA	महत्वपूर्ण	न्यूनतम स्वीकार्य 2FA
निकासी व्हाइटलिस्ट	महत्वपूर्ण	अनधिकृत निकासी को रोकता है
एंटी-फिशिंग कोड	महत्वपूर्ण	ईमेल फिशिंग सुरक्षा
IP व्ह

एक्सचेंज सुरक्षा खतरे का मॉडल​

एक्सचेंज को क्यों लक्षित किया जाता है​

हमले के सदिश​

खाता सुरक्षा की मूल बातें​

1. एक मजबूत, अद्वितीय पासवर्ड का उपयोग करें​

2. दो-कारक प्रमाणीकरण (2FA) सक्षम करें​

हार्डवेयर सुरक्षा कुंजी (FIDO2/WebAuthn) — सर्वश्रेष्ठ​

प्रमाणिकरण ऐप (TOTP) — अच्छा​

SMS 2FA — संभव हो तो टालें​

3. अपने ईमेल खाते को सुरक्षित करें​

4. निकासी पता व्हाइटलिस्ट सक्षम करें​

5. एक एंटी-फिशिंग कोड सेट करें​

6. API कुंजियों की समीक्षा और प्रतिबंध करें​

उन्नत सुरक्षा उपाय​

SIM स्वैप सुरक्षा​

डिवाइस सुरक्षा​

सेशन और लॉगिन प्रबंधन​

IP व्हाइटलिस्टिंग​

एक्सचेंज चयन मानदंड​

नियामक अनुपालन​

आरक्षित का प्रमाण​

सुरक्षा ट्रैक रिकॉर्ड​

बीमा और मुआवजा​

देखने के लिए सुविधाएं​